无线组网 频道

移动安全全面解析:iOS&安卓&Windows

   第一节:谷歌Android for Work与三星Knox

  谷歌的Android for Work与三星的Knox承诺带来更出色的安全保障水平,但它们是否真的足以与苹果的iOS及市面上的其它移动方案相抗衡?

  Android for Work的作用与不足

  这项刚刚面世的技术方案为Android平台带来了新的安全性保障与管理能力,同时也让企业客户得以将来自Play Store的Android应用程序部署在内部业务环境当中。

  Android for Work容器机制——其将业务应用运行在彼此独立的受控工作区当中——属于Android 5.0 Lollipop版本的组成部分,且支持任何已经在谷歌Play Store中上架的应用产品。值得一提的是,Android 3.0 Ice Cream Sandwich到4.4 KikKat版本也要求用户安装这款Android for Work应用,但其只适用于那些包含有Android for Work API的应用程序。

  具体而言,我们需要一台兼容性移动管理服务器负责承载管理政策,从而以此为基础指导应用程序在容器环境下的运行,包括强制要求使用VPN或者限制复制-粘贴操作等。目前支持Android for Work的移动管理方案供应商包括黑莓、思杰、谷歌、IBM、MobileIron、SAP、Soti以及VMware AirWatch等。

  Android for Work所解决的是存在于Android应用当中的恶意软件问题,包括那些藏身于谷歌Play Store当中或者以数据文件形式感染应用程序的恶意内容。在它的帮助下,IT管理员能够阻止用户将那些未经审核的应用安装在业务环境当中,从而更好地保障环境的安全水平。

  相比之下,iOS采用沙箱机制阻止应用程序之间进行相互访问,同时以强硬的手段禁止文件在不同应用间互传。黑莓与Windows Phone的应用程序阵容比较孱弱,而且也同样采用沙箱机制,因此目前这两套平台的安全性还不是什么大问题——当然,过去也曾经出现地针对黑莓平台的恶意软件。

  Android for Work会在现有Android设备上实现默认加密(涵盖绝大部分机型,但不包括那些廉价且没有足够的性能进行加密操作的机型)。

  三星Knox,以商务Android用户为目标受众

  作为两年前公布的方案,三星Knox经历了一系列难产、如今又遭到谷歌Android for Work的猛烈阻击。不过三星方面仍然对这款产品青眼有加,并低调推出了Knox 2.4版本。

  Knox只能作用于由三星公司出品的智能手机与平板设备之上,因为它与黑莓的手机与BES管理服务器一样,都被直接内置在了自家产品内部。因此,Knox只适用于那些决定选择三星设备作为员工生产力强化方案的企业。

  Knox 2.4(只能运行在Android Lollipop设备之上)能够将Active Directory密码集成到其安全工作区当中,同时可以实时注册设备并追踪用户对业务及个人数据的使用情况。

  移动设备管理(简称MDM)得到本质增强

  谷歌Android for Work的出现令微软方面备感压力,其Windows Phone糟糕的安全与管理能力表现让软件巨头不得不有所表示。在目前的Windows Phone 8.1版本中,微软终于在其智能手机平台上拿出了可以接受的基础性功能组合——虽然这些功能在其它移动平台上早就已经成为标准配置。

  时至今日,MDM工具已经被广泛应用于金融服务、安全保障、政府机关以及医药产业——而这些恰恰是对信息安全性要求最高的商务领域。不过MDM已经不是什么新鲜事物,多年来许多企业早已利用黑莓Enterprise Server(BES)来管理黑莓移动设备的访问权限及使用许可等工作。目前普及面最广的邮件服务器微软Exchange所内置的Exchange ActiveSync(EAS)协议则成为支持面最广、也最具次世代气质的管理政策。

  目前iOS、Android、Windows Phone 8以及BlackBerry 10都能够支持微软Exchange ActiveSync策略,其能够提供基础但却实用的跨平台管理机制,从而帮助IT管理人员将Exchange、Office 365、Google at Work、Lotus 否tes乃至微软System Center等功能引入各类安全环境。

  EXCHANGE ACTIVESYNC (简称EAS)

  管理政策支持能力比较

移动安全全面解析:iOS&安卓&Windows
▲ (表格中的‘MDM’表示需要独立的移动设备管理服务器作为支持)

  内容与应用管理成为移动安全的全新关注焦点

  最近一段时间以来,移动管理方案供应商开始越来越多地将内容与应用安全视为设备管理领域的重要议题。苹果公司的iOS 7 API率先从系统平台层面尝试解决这个问题,其利用标准化API帮助应用程序开发人员使用并管理自己的内容及使用情况。

  苹果方面采取的办法是直接对应用及其内容下手,这意味着应用程序开发人员必须为这些API配备管理服务器,从而实现协作。除此之外,iOS还只允许单一应用在单一设备上存在单一实例,因此用户无法在安装了IT监管下的版本之后、再随意安装自己的应用备份版本。

  在此之后,容器化技术开始繁荣发展,iOS与Android都成为其有力支持者。不过它们都要求运行在容器当中的应用与其专有API相绑定,这就导致这些应用产品被束缚在特定供应商的移动管理服务器之上。有鉴于此,双方的方案并没有得到广泛采纳。

  2013年,三星公司公布了Knox这一容器技术方案。亦在同年,黑莓方面推出了BlackBerry Balance,这是第一款平台级别的容器化解决方案,针对面向BlackBerry 10设备。该项目还包含一款名为Secure Work Space的Balance容器应用,专门面向iOS与Android设备。

  容器管理政策可以在不同容器环境中有所区别,这意味着移动管理难度被提升到了新的水平。不过iOS API与Android容器都在这一热门移动管理服务器上得到支持,IT管理员已经可以创建出在这两类平台上得到广泛兼容的统一化政策。

  值得注意的是,黑莓的BES 12也支持iOS 7中的一部分应用管理API,但支持数量低于思杰、MobileIron以及VMware AirWatch等厂商的方案。

  原生安全管理功能比对

移动安全全面解析:iOS&安卓&Windows

  第二节:无论PC还是移动平台,应用管理工作都需要符合适度原则

  第三方应用程序在移动领域中的定位与PC领域不同,处理方式也应当讲求区别与统一。

  ——Galen Gruman

  即使大家还没有亲自使用,但想必已经接受用户将iPhone、iPad及Android设备带入业务环境这一客观现实。为了满足安全需求,很多朋友可能已经把移动设备管理(MDM)工具部署到企业中,希望以此构建敏感数据的理想保护机制——至少需要与PC安全水准类似。

  但移动设备中的应用该如何对待?大家如何着手管理?如何解决定点许可?怎样为应用提供企业技术支持?这些都是摆在IT管理员面前的实际问题。

  但答案可能并不顺耳:放弃吧,不要再纠结于上述麻烦事。(对于直接介入企业信息系统及流程的应用,应用管理方案已经非常明确,标准化产品的出现也为管理者省去了收集、整理、归纳解决机制的诸多烦恼。)

  为什么应用管理属于遗留方案

  IT业界始终笼罩在误解与流言的困扰下,而我在这里必须要说句公道话:第三方应用管理工作所解决的往往都不是预期问题。真正值得审视、需要规划的是掌控信息自身及其访问方式。

  企业业务边界具有渗透性,而且随着人们居家、差旅办公以及协作团队、分包方案的不断增加,这一边界已经变得愈发模糊。智能手机与平板设备的全面崛起令未来前景已成定局——任何一家希望通过计算设备与应用控制方案保护信息的企业(与希望通过数据访问规划实现保护效果)都逐渐意识到,自己所做出的诸般努力并没有直接作用于价值保护。

  如果能从这个角度思考问题,大家一定会发现对终端的过分关注其实是种错误的信息管理措施。从大型机时代一路走来,IT部门已经习惯于这种监管终端的思维方式;而在今天,真正的计算活动已经转移到数据中心内部,技术人员更希望普通员工能以“傻瓜”方式操作终端、实现业务需求。单单讨论PC机的话,IT部门一直非常反感用户将业务信息保存在个人电脑中,而供应商则及时出现、利用各类技术尝试将PC机牢牢束缚在数据中心的控制之下。无论是加密机制还是强制登录,众多现实方案的目标只有一个——为真正有价值的信息提供帮助。

  真正给IT管理者带来困扰的根源在于,这些应用全部来自应用软件商店并因此缺乏定点软件认可。另外这些供应商并没有提供企业级支持规划,而这些恰恰是IT消费化趋势的主要特点。

  如何在IT消费化时代管理应用程序

  无论是来自Mac、Windows、Chrome还是其它什么应用商店的产品,其采购过程都完全由个人为主体;而且大多数应用商店都允许用户通过个人ID将已经购买的应用安装到每一台设备当中。在新机制的影响下,我们不再需要与定点软件许可打交道;就拿苹果的App Store为例,所有交易流程都以围绕个人展开:每位用户在购买后都有权在其它五台设备中安装并使用该产品。而对于那些由多位用户共同使用的设备——例如公用iPad或公共Mac机——许可证同样支持所有使用者在该硬件上的合法性。

  移动应用管理工具同样能够作用于企业内部广泛铺开的业务应用,无论是本地应用还是HTML 5Web应用都能搞定。

  但大家一定要注意:IT部门只能通过长效技术管理内部应用,但商业应用却不在管理范畴之内。

  在这片全新的领域中,商业应用与移动设备的角色非常相似:它同样由员工自发引入,许可与个人联系紧密、却与真正承担购买成本的企业毫无交集。而且移动应用的售价往往极低,企业不可能再像过去那样利用大量人力与技术方案负责采购及安装监控——这种思路本身也是与现实脱节的表现。(没错,我知道某些企业确实需要稳固的约束政策,他们应该会按业务需要强化控制。但请大家扪心自问,我们到底需要为应用程序及终端设备实施哪些控制方式?经过仔细度量,各位一定会发现自己的原有政策有些太过严苛、繁复了。)

  虽然某些MDM工具允许管理者通过设定限制用户设备上所能安装或者有权访问网络资源的应用程序类型,但这类功能还并没有成为MAM产品的标准配置。实际上,这套方案只能在严格控制下的设备中奏效——例如零售店中员工共同使用的iPad——在普通的自带设备领域则并不可行。

  概括来讲,大家应当禁止特定用户对特定信息的访问,而不是考虑过程中会涉及哪些应用。应用程序完全可以面向全部用户,但数据访问则必须有所限制。

  从客观角度讲,用户们与上世纪八十到九十年代相比,其个人技术水平已经取得长足进步,不再需要管理者严格监控其工作状态。我记得想当年连传真机、复印机以及扫描仪都算是昂贵、复杂、易损坏的精密工具,而如今每位员工都已经能够轻松使用。当时,企业需要专门设置秘书岗位,帮助普通员工使用上述设备、同时防止不懂“技术”的家伙随意操作;许多公司甚至还特意为复印及传真工作创建了负责团队。随着时间的推移,技术越来越易用、成本也越来越低廉,曾经的贵族系统现在也早已平民化。当前,上述设备被广泛部署于企业的每一个角落,并以完全自助的方式供员工们使用——很多人甚至开始将它们搬回家中,满足日常生活中的各类需求。一旦设备损坏,我们只需打个电话给销售方或者服务人员即可。没有人会来审查我们曾经复印或打印的内容是否经过验证;因为大家会默认用户有权访问自己所使用的信息。

  第三节:解放移动用户,将数据作为保护重点

  综上所述,我们该采取怎样的信息信任标准:

  1、 为用户提供基本使用权限。

  2、 强制采取基础性访问管理机制。

  3、 允许本地政策管理。

  4、 将管理措施推广到所有平台——而不仅限于移动平台。

  5、 将管理范畴控制在合理水平,保持适度原则。

  向技术业界提出的请求:让信息信任成为现实

  我真诚希望微软、苹果与谷歌三方能够联合起来,引领各应用程序开发商共同出台一套信息信任标准。除此之外,MobieIron、Good Technoloby、AirWatch、Centrify、AppCentral以及Apperian等移动与桌面安全供应商也应当参与进来并在其中扮演关键性角色。

  与此同时,那些传统且思维保守的方案供应商(主要是杀毒软件行业)应当被排除在外,至少在标准制定初期将其排除在外。过去的历史已经证明,他们只会在原地不断重复自己的思路、而不愿接受新兴趋势的影响。

  IT部门已经一再强调将信息内容作为保护对象的主旨,因此各技术供应商请不要再将设备与应用程序本身作为关注重点了。现在正是将注意力转移到有价值信息——无论其身在何处——的非常好的时机。

2
相关文章